Дом развитие Качественный против количественного: время, чтобы изменить, как мы оцениваем серьезность сторонних уязвимостей?

Качественный против количественного: время, чтобы изменить, как мы оцениваем серьезность сторонних уязвимостей?

Оглавление:

Anonim

Разработка системы для оценки того, насколько серьезно сообщество разработчиков программного обеспечения должно относиться к уязвимостям, является, мягко говоря, проблемой. Код написан людьми, и всегда будет иметь недостатки. Тогда возникает вопрос: если мы предположим, что ничто не будет идеально, как мы можем лучше распределить компоненты по их риску таким образом, чтобы мы могли продолжать продуктивно работать?

Только факты

Хотя существует много разных подходов, которые можно использовать для решения этой проблемы, каждый из которых имеет свое собственное обоснованное обоснование, наиболее распространенный метод, по-видимому, основан на количественной модели.

С одной стороны, использование количественного подхода к оценке серьезности уязвимости может быть полезным, поскольку оно более объективно и измеримо, основываясь исключительно на факторах, связанных с самой уязвимостью.

Качественный против количественного: время, чтобы изменить, как мы оцениваем серьезность сторонних уязвимостей?